Columna de Bernardita Briones, miembro del Consejo de Ética y Autorregulación de la AMDD y Abogada y delegada de protección de datos de las empresas de Enel en Chile.
Este 2025 no sólo la protección de datos personales ha acaparado parte importante de la atención del mercado. También lo ha hecho la Ley Marco de Ciberseguridad (Ley Marco), que ya está vigente.
Esta es aplicable solo a aquellos que prestan “servicios esenciales” y a los que serán designados por la Agencia Nacional de Ciberseguridad (ANCI) como “operadores de importancia vital (OIV)”. Es decir, en términos generales obliga a entidades que, al verse afectadas en su funcionamiento, pueden causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o de la administración del Estado, a la defensa nacional o a la seguridad y el orden público.
Esta descripción ha hecho que muchos actores tengan la falsa ilusión de que no se verán afectados y de que no están obligados a cumplir esta ley. Pero ¿qué pasa si un obligado por la Ley Marco contrata los servicios de una empresa que no lo está?
Por ejemplo, si una agencia de publicidad o una empresa de retail presta servicios a un OIV y es objeto de un incidente de ciberseguridad, ¿podría excluir su responsabilidad ante su contratante por el sólo hecho de que su actividad no esté enumerada entre los obligados por la Ley Marco?
Esto nos lleva a hablar de la cadena de suministro, que, dentro del contexto de la informática y la ciberseguridad, se define como aquella “formada por proveedores de servicios digitales externos a una compañía. Estos proveedores pueden ser, por ejemplo, proveedores de internet o de software y hardware que cualquier empresa contrata para llevar a cabo diferentes tareas o dar servicios a sus propios clientes”.
Como señala el Instituto Nacional de Ciberseguridad de España (INCIBE), los ciberataques tienen un objetivo común: aprovechar una vulnerabilidad en una solución posteriormente utilizada por otros. De esta manera, el ciber incidente que sufra un proveedor que presta servicios a alguien obligado por la Ley Marco, puede ser la puerta de entrada para que el ciberdelincuente se infiltre en la empresa y acceda a su infraestructura tecnológica.
En un mercado tan pequeño e interdependiente como el chileno, quien preste servicios a un obligado por la Ley Marco tendrá que preocuparse de adoptar las medidas técnicas y organizativas necesarias para asegurar que su actividad proteja sus activos y los datos personales de sus clientes (los de aquellos que sí pueden estar obligados por la Ley Marco).
Es cierto que la ANCI no podrá multarlos, pero eso no evitará tener que responder ante un cliente, que, por un mal servicio, sí pudo haber sido sancionado por la autoridad, sin contar las consecuencias económicas o reputacionales que significa tener suspendida la operación por horas o perder información valiosa.
Es de esperar, entonces, que todos aquellos que estén obligados por la Ley Marco empiecen a exigir a sus proveedores y contratistas estándares (incluso a aquellos a quienes no les aplicaría la Ley Marco) más altos en ciberseguridad, en seguridad de la información y protección de datos personales.
Cabe destacar que si un incidente de ciberseguridad, además, afecta a sistemas informáticos que contengan datos personales, la Ley Marco lo considera un “incidente de efecto significativo”, que son aquellos que tienen una regulación más estricta en la referida ley.
